ESET Forscher haben zwei neue Linux-Backdoors entdeckt, die wahrscheinlich von der China-nahen Hackergruppe Gelsemium stammen. Die Entdeckung erfolgte nach der Analyse von Archiven, die im Jahr 2023 auf Googles Online-Dienst Virus Total hochgeladen wurden.
Die Dateien wurden von Servern in Taiwan, den Philippinen und Singapur eingespeist, was auf Vorfälle in diesen Regionen hindeutet. Die Schadprogramme mit den Namen „WolfsBane“ und „FireWood“ dienen der Cyber-Spionage, indem sie sensible Daten wie Systeminformationen, Anmeldedaten und Dateien unbemerkt sammeln. Während Wolfsbane sich zweifellos Gelsemium zuordnen lässt, kann ESET FireWood allerdings nicht gesichert dieser Gruppe zuschreiben, da die Beweise für eine direkte Verbindung nicht eindeutig sind.
Linux immer stärker im Visier
„Professionelle Hacker fokussieren sich stärker auf Linux-Systeme – das ist eine besorgniserregende Entwicklung“, erklärt der ESET Forscher Viktor Šperka, der die Analysen durchgeführt hat. „Der Grund dafür sind vor allem verbesserte Sicherheitslösungen für Windows-Systeme und die Deaktivierung von VBA-Makros. Dies führt dazu, dass Cyberkriminelle neue Angriffsmöglichkeiten abwägen. Linux rückt dabei immer stärker in den Fokus.“
Die Analysen enthüllten die ausgefeilte Technik der beiden Backdoors. WolfsBane ist eine Linux-Version der bekannten Windows-Schadsoftware „Gelsevirine“ und nutzt Rootkits, um ihre Aktivitäten zu verschleiern. Ein Rootkit ist eine Schadsoftware, die es Cyberkriminellen ermöglicht, sich unbemerkt Zugang zu Computern zu verschaffen und deren Daten zu infiltrieren.
Linux im Fadenkreuz von Cyberangriffen
FireWood hingegen zeigt Verbindungen zu einer älteren, aber ständig weiterentwickelten Backdoor namens „Project Wood“, die ebenfalls von Gelsemium genutzt wurde. Die Forscher konnten die Spuren der Schadsoftware bis ins Jahr 2005 zurückverfolgen. Beide Backdoors wurden so konzipiert, dass sie unbemerkt bleiben und eine langfristige Kontrolle über kompromittierte Systeme ermöglichen.
ESET entdeckte die bösartige Software in Archiven, die von Taiwan, den Philippinen und Singapur auf Virus Total hochgeladen wurden. Dies deutet darauf hin, dass die Proben im Rahmen von Vorfällen auf einem kompromittierten Server entdeckt wurde. Die betroffenen Systeme waren vorwiegend Linux-Server, die Hacker vermutlich durch Sicherheitslücken in Webanwendungen erfolgreich angreifen konnten. Die Archive enthalten auch mehrere Werkzeuge, die einem Angreifer die Fernsteuerung kompromittierter Server ermöglichen.
Unternehmen müssen Sicherheitsstrategien überdenken
Die Entdeckung der neuen Werkzeuge zeigt, wie wichtig ein umfassender Schutz für Linux-Systeme geworden ist. Unternehmen und Behörden sollten ihre Sicherheitsmaßnahmen überdenken und verstärkt auf Sicherheitsupdates, Intrusion-Detection-Systeme und regelmäßige Sicherheitsaudits setzen. Eine ausführliche technische Analyse findet sich in einem Blogpost.
Mehr bei ESET.com
Über ESET ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.